Cra*_*nch 4 google-cloud-sql google-compute-engine google-cloud-iam
我在Google Compute Engine中有多个环境(开发,登台和生产),每个环境都有自己的Google Cloud SQL实例。实例通过Cloud SQL代理连接并使用与服务帐户绑定的凭证文件进行身份验证。我想为每个环境都有一个单独的服务帐户,这将仅限于访问特定于该环境的SQL实例。当前,似乎任何具有角色的服务帐户Cloud SQL Client都可以访问同一项目中的任何 Cloud SQL实例。
我找不到任何将Cloud SQL实例上的访问限制为特定服务帐户的方法。有可能,如果可以,如何?如果不是,是否有其他方法可以实现防止一个环境中的服务器访问另一环境中的Cloud SQL实例的目标?
注意:Google Cloud Storage可以进行此配置;可以分配一个特定的服务帐户以在每个存储桶上具有各种权限,这样dev服务帐户就不会意外访问生产文件。
不幸的是,Cloud SQL当前不支持实例级别的IAM策略。
唯一的解决方法是将实例托管在不同的项目中。
自2021 年 8 月发布的 Google Cloud SQL 开始:
您可以使用 IAM 条件为 Google Cloud 资源(包括 Cloud SQL 实例)定义和实施基于属性的条件访问控制
请参阅IAM 条件文档,了解有关如何将用户或服务帐号限制为特定 Cloud SQL 实例的信息。
| 归档时间: |
|
| 查看次数: |
448 次 |
| 最近记录: |